-

‘Ten minste 28 duizend data protection officers nodig’

Met de nieuwe Europese ‘Algemene Verordening Gegevensbescherming’ gaat er een hoop veranderen bij bedrijven, zowel in de marketing als daar buiten. Een van die veranderingen: er zullen ten minste 28 duizend ‘data protection officers’ (DPO’s) nodig zijn, zo blijkt uit onderzoek.

Die voorzichtige raming doet de International Association of Privacy Professionals (IAPP) in een onlangs verschenen rapport. De regelgeving die de Nederlandse privacywet in 2018 gaat vervangen, is zo ingrijpend dat een groot aantal bedrijven zo’n DPO moet aanstellen of inhuren. De instantie keek voor deze voorspelling naar het huidige aantal data controllers in de publieke en private sector. Zelf spreken de onderzoekers van een vrij conservatieve schatting. Dat er nog meer nodig zijn, ligt voor de hand.

Onder de huidige Nederlandse wetgeving is de aanstelling van een persoon die toegang houdt op de omgang met persoonsgegevens niet verplicht. De nieuwe regels brengen daar verandering in. In 2018 zal zo’n persoon daarom bij alle overheidsinstanties en bedrijven die structureel of op grote schaal persoonsgegevens verwerken, moeten rondlopen.

Welke data worden verzameld en hoe zijn ze beveiligd?

Als de toezichthouder hierom vraagt moet je de gegevensverwerking van je organisatie kunnen tonen, licht branchevereniging DDMA toe in een onlangs gepubliceerd artikel. ‘Welke bronnen verzamel ik, via welke bronnen, welke systemen gebruik ik, wie erbij en hoe zijn die systemen beveiligd.’ Dat de verordening alleen van belang is voor grote bedrijven, behoort tot een lijst van misvattingen. Voor alle situaties waarin persoonsgegevens worden verwerkt – online én offline – gelden deze regels.

Een DPO mag overigens wel meerdere bedrijven vertegenwoordigen. Als hij of zij maar bezit over voldoende kennis van dataprotectie en het recht. Daarnaast heeft die persoon de taak medewerkers te trainen en interne audits te houden.

De nieuwe regels betekenen ook dat de toezichtouders tanden krijgt. Zo kunnen er boetes worden uitgedeeld van maximaal twintig miljoen euro of vier procent van wereldwijde jaaromzet. Kommer en kwel dus? Welnee, zeggen toezichthouders. Juist een kans om aan het vertrouwen van klanten te werken. Bedrijven moeten in begrijpelijke taal leren communiceren over ‘privacy by design’.

In de verordening staat namelijk ook dat privacyinstellingen standaard op ‘hoog’ moeten staan en databescherming al mee moet worden genomen in de ontwikkeling van processen. Met de juiste communicatie over de genomen maatregelen (bijvoorbeeld een DPO) en design kun je aan dat vertrouwen werken, zo licht Frank Meijer van Osudio in dit artikel toe. ‘Privacy helpt je om de klant echt centraal te stellen.’

Nog geen DPO? Werk dan teminste aan een databeveiligingsbeleid

Ook als je als bedrijf nog geen DPO hebt aangesteld – of nog even wacht – kun je al aan de slag, vertelt Michael Heering van beveiligingsbedrijf Sophos. ‘Start in ieder geval bij een databeveiligingsbeleid’, zegt hij. ‘Het heeft geen zin om peperdure oplossingen aan te schaffen als er nog geen beleid is.’

Met de versleuteling van data ben je er namelijk nog niet. Voor je het weet verplaatsen medewerkers gevoelige gegevens naar de cloud omdat ze thuis willen werken. Stel jezelf daarom drie vragen, zegt Heering. ‘Hoe stromen data mijn organisatie in en uit? Hoe worden de data gebruikt? En wie hebben er toegang en is dat noodzakelijk? Die vragen lijken eenvoudig, maar de antwoorden zijn moeilijker te formuleren dan menigeen denkt.’

Maak daarnaast slimmer gebruik van logs. ‘Gebruik ze niet alleen als naslagwerk na een datalek. Ze leren je veel over het gedrag van gebruikers.’ Zijn er een aantal marketeers die steevast hun software-updates niet installeren, maken die het cybercriminelen wel erg makkelijk. En tot slot: ‘Gebruik altijd encryptie. Ook als de wet dat niet voorschrijft. Bedrijven zien dat nog veel te vaak als verplichte en complexe kost. En dat terwijl je bij slim gebruik van encryptie een extra beschermingslaag hebt tegen allerlei vormen van cybercriminaliteit.’

Foto: Holly Victoria Norval (cc)

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond